Immagine in evidenza: Team Europe all’International Cybersecurity Challenge
[Articolo aggiornato dopo la pubblicazione per recepire alcune osservazioni ricevute che la redazione ha ritenuto valide]
In Italia mancherebbero 100 mila esperti di cyber security. Ad affermarlo per prima è stata l’Agenzia per la cybersicurezza nazionale italiana, ente istituito nell’estate 2021 con il compito di coordinare tutte le iniziative di cybersicurezza in ambito nazionale. Negli ultimi mesi, il dato è stato ripetuto su vari media – tra cui Corriere della Sera, Sole 24 Ore e Avvenire – ed è stato ribadito dall’Autorità delegata per la sicurezza della Repubblica Franco Gabrielli all’evento Cybertech, a metà maggio.
Non è chiaro, però, come sia stata calcolata la stima, né è chiaro se abbracci soltanto ruoli tecnici o se, al contrario, includa anche figure interdisciplinari, come i data protection officer (DPO) la cui presenza nelle aziende è stata predisposta dal Regolamento europeo per la protezione dei dati nel 2018.
Le aziende italiane faticano a colmare ruoli cyber
Ciò che è sicuramente vero, invece, è che le aziende italiane stanno facendo molta fatica a trovare persone che ricoprano i ruoli di cybersecurity che vengono effettivamente offerti. Il problema non è soltanto italiano. Lo scorso autunno, l’Agenzia per la cybersicurezza dell’Unione europea (ENISA) scriveva in un report che “nel mercato del lavoro manca personale qualificato per svolgere ruoli di sicurezza informatica e in grado di affrontare in modo sufficiente la gamma di minacce informatiche poste. Nel corso degli anni, questo è diventato un problema ben documentato, che continua ad avere un impatto significativo sui Paesi in tutta Europa e nel mondo. All’interno di Paesi e settori specifici, questi problemi sono ancora più pronunciati a causa della forte concorrenza per i professionisti della sicurezza, il che spesso significa che alcuni settori (ad esempio governi e banche centrali) hanno difficoltà ad attrarre professionisti della sicurezza di talento rispetto ad altri (come il settore finanziario) che possono offrire un lavoro più redditizio”.
Da allora, la necessità di mettere in campo maggiori difese contro i cyber attacchi non ha fatto che assumere maggiore urgenza. Secondo dati Trend Micro, nel 2021 l’Italia figurava al quarto posto a livello mondiale per numero di attacchi malware intercettati, e il dodicesimo per numero di ransomware. Mentre, per il CyberEdge Group 2021 Cyberthreat Defense Report, nel 2021 l’87,8% delle organizzazioni italiane prese in esame hanno subito un cyberattacco – una realtà che, come sappiamo, non ha risparmiato infrastrutture pubbliche vitali come gli ospedali, come raccontato anche da Guerre di Rete.
A fronte di questi rischi pressanti, il report 2022 Cybersecurity Skills Gap commissionato dalla società di cybersicurezza Fortinet evidenza che, a livello mondiale il 60% delle aziende che cercano personale qualificato nel settore ha problemi a riempire le posizioni, con dei picchi particolarmente alti per i ruoli di Cloud Security specialist e Security Operations analyst.
Il parere di una cinquantina di professionisti sentiti da Guerre di Rete
Guerre di Rete ha fatto dunque una serie di domande a 51 professionisti che si occupano a vario titolo di sicurezza informatica in aziende italiane medio-grandi: le loro risposte fotografano in effetti una situazione di difficoltà. Se il 66% degli intervistati (tutte le percentuali sono da considerarsi relative a coloro che hanno risposto alla domanda posta) ha affermato che nella propria azienda la cybersecurity ricopre un ruolo centrale e ben finanziato, il 24% dice invece che esiste soltanto un piccolo team di esperti, e il 10% che non esiste nessun team dedicato all’interno della compagnia.
Il 40,5% degli intervistati afferma che l’azienda ha aperto dalle 2 alle 5 posizioni per ruoli legati alla cybersecurity nell’ultimo anno; il 21,4% dice di averne aperte tra le 6 e le 10, mentre il 19% più di 10. Tra queste posizioni aperte (l’88,1% a tempo indeterminato) ci sono tante figure diverse: information security analyst, security architect, cloud security engineer, penetration tester, threat e risk analyst, incident responder, cybersecurity manager. Emerge evidente (88,1% degli intervistati) la difficoltà nel trovare candidati adatti ai ruoli.
Nel 35,3% dei casi, gli intervistati hanno affermato, semplicemente, di non aver ricevuto abbastanza candidature per colmare i ruoli. Il 17,6% dice che i candidati non avevano sufficienti anni di esperienza, mentre il 47% che mancavano loro le skill necessarie a ricoprire il ruolo. Il 21,6% delle risposte indicano che sarebbe stato necessario formare ulteriormente i candidati una volta assunti.
I risultati dell’intervista riflettono un problema che, secondo Stefano Zanero, professore associato di Computer Security al Politecnico di Milano, è particolarmente evidente in Italia. “Di corsi universitari che formano alla cybersecurity ce ne sono ormai tanti. Il problema è la materia della sicurezza in parte si può trasmettere con lezioni frontali, ma ha un forte elemento di esperienza, e quindi ci si arena spesso nel momento dell’ingresso nel mercato del lavoro”, ha spiegato a Guerre di Rete.
L’88,1% degli intervistati da Guerre di Rete segnala che la propria azienda prevede dei corsi di rafforzamento delle competenze cyber a seguito dell’inserimento dei nuovi assunti, e l’81% di loro aggiunge che attualmente, l’azienda fornisce percorsi di crescita costanti per l’acquisizione o l’aggiornamento delle competenze cyber dei propri dipendenti.
Dove si studia per lavorare nel settore
Secondo ENISA, esistono 126 programmi di istruzione superiore in 25 diversi Paesi europei che rispondono ai requisiti dell’agenzia europea per la formazione – tra cui il fatto che almeno il 40% dei corsi proposti trattino temi legati alla cybersicurezza.
Secondo la lista proposta da CyberHEAD, un database ENISA che raccoglie questi programmi accademici, in Italia sono 19, in prevalenza master: tra questi si contano quello in Cyber Risk Strategy and Governance della Bocconi e il Politecnico di Milano; quello in Computer Engineering con specializzazione in Cybersecurity del Politecnico; quello in Sicurezza informatica dell’Università degli studi di Bari Aldo Moro; quello in Data Science and Innovation Management (con concentrazione in Cyber Risk Management for Advanced Defence Strategies) dell’Università degli studi di Salerno; quello in Computer Engineering, Cybersecurity and Artificial Intelligence dell’Università di Cagliari; cinque diversi master in Cybersecurity offerti rispettivamente dalla Sapienza di Roma e dalle Università di Padova, di Perugia, di Pisa e di Trento; quello in Data and communication security engineering dell’Università di Napoli Parthenope; quello in Computer Engineering (con curriculum cybersecurity) all’Università di Pisa; e quello in Artificial Intelligence & Cybersecurity dell’Università di Udine.
Tra le lauree triennali, invece, nella lista c’è quella in Sicurezza dei sistemi e delle reti proposta dall’Università degli Studi di Milano e quella in Diplomatic, International and Global Security Studies dell’Università di Salerno, che non solo fornisce competenze di cybersecurity ma mantiene un focus sulla stessa anche negli altri insegnamenti.
Il Laboratorio Nazionale di Cybersecurity, poi, patrocina personalmente due corsi di laurea triennale, venti corsi di laurea magistrale, otto master di primo livello, quattro master di secondo livello, e tre dottorati di ricerca. L’Università di Modena e Reggio Emilia offre attraverso la propria Cyber Academy dei corsi di perfezionamento nel settore.
A livello nazionale, sul fronte della formazione dei più giovani, esistono iniziative come CyberChallenge.IT, programma indirizzato a ragazzi e ragazze tra i 16 e i 24 anni che mira a “identificare, attrarre, reclutare e collocare la prossima generazione di professionisti della sicurezza informatica” – e che nel 2022 conta di coinvolgere almeno 5mila studenti – e la neonata CyberTrials, una scuola che vuole formare le nuove esperte digitali del futuro (e colmare il profondo gender gap del settore), rivolto a qualsiasi ragazza iscritta a un istituto superiore di II grado, a prescindere dalla conoscenza tecnica pregressa.
Dei professionisti che hanno risposto all’intervista di Guerre di Rete, solo il 30% ha affermato che la propria azienda svolge attività di scouting già negli istituti tecnici, mentre il 60% ha affermato che la propria azienda ha uno o più atenei di riferimento per la ricerca di nuovi candidati.
Il ruolo di università e aziende
Sia perché l’università italiana è tendenzialmente molto teorica, sia perché le competenze tecniche necessarie per i singoli ruoli possono variare tantissimo, questa formazione non è sempre sufficiente per sbarcare nel mercato del lavoro. “La mia impressione è che molte aziende si aspettino di trovare già dei professionisti fatti e finiti, mentre dovrebbero mettere loro stesse in campo un elemento di formazione. Il che vuol dire prendere un neolaureato che già ha studiato bene e formarlo per fare il lavoro effettivo, il che non è compito delle università”, commenta ancora Zanero. “Ci sono le aziende di consulenza che assumono i ragazzi e li mettono in shadowing per qualche mese a un consulente più esperto e lo formano, ma capitano spesso e volentieri aziende per cui assumere uno stagista che si occupi di questi temi è il primo approccio alla sicurezza informatica”.
Se quindi le skill, senza dubbio, mancano a livello globale, il fatto che molte aziende italiane abbiano a lungo considerato l’informatica e la sicurezza come un costo da mantenere il più basso possibile, esternalizzandolo ad agenzie di consulenza, non aiuta. Rispetto a quelle di tanti altri Stati, le aziende italiane spendono ancora una percentuale bassa del proprio budget in sicurezza: il 10,1%, a fronte del 15% del Brasile o il 13,7% degli Stati Uniti. E i salari notoriamente bassi del nostro Paese non aiutano né a mantenere in Italia professionisti molto richiesti, né ad attrarne dall’estero.
Quella della remunerazione è una questione centrale: se il salario medio di un cybersecurity engineer è di poco superiore ai 126 mila dollari all’anno negli Stati Uniti, 100 mila euro in Germania e 87 mila euro in Francia, in Italia la media sarebbe di 77 mila euro all’anno.
Il 65,6% dei professionisti che ha risposto all’intervista di Guerre di Rete, però, ha affermato che la propria azienda offre alle persone alla prima esperienza lavorativa che si occupano di cybersecurity un salario di partenza (RAL) che va dai 25 ai 35 mila euro all’anno. Soltanto il 3% degli intervistati ha detto di offrire sopra i 60 mila euro all’anno a una persona alla sua prima esperienza lavorativa.
Il problema, comunque, è tutt’altro che limitato al settore privato. La neonata Agenzia per la cybersicurezza nazionale, che ha annunciato di voler assumere 300 persone entro la fine del 2023 e 800 entro il 2028 – comunque molto meno di quelle che lavorano per l’equivalente francese (1100) e quello tedesco (1200) – starebbe avendo enormi problemi a trovare persone che rispondano al suo bando (che per ora ha cercato 61 persone, tra cui 15 esperti di certificazione e ispezione, 10 tecnici hardware o di telecomunicazioni con esperienza nello sviluppo di hardware, 15 tecnici software, 3 tecnici crittografi, 4 esperti di gestione e realizzazione di programmi industriali, tecnologici e di ricerca e 3 esperti di funzioni operative di cybersecurity).
Secondo Wired.it il bando sarebbe andato deserto, “tanto da costringere l’agenzia a rivolgersi a un apposito team di recruiting”. Tra i motivi, hanno commentato alcune fonti a Wired, ci sarebbe una retribuzione più bassa rispetto alla media del settore, specie se si guarda all’ambito corporate e in particolari alle aziende tech.
La crescita dei ruoli ibridi
Oltre ai ruoli prettamente tecnici, esistono opportunità anche per studenti di facoltà umanistiche o giuridiche che vogliano avvicinarsi alla cybersecurity. Come spiega a Guerre di Rete Giovanni Ziccardi, professore di Informatica Giuridica presso l’Università di Milano, con il crescente interesse pubblico attorno a temi come la cybersecurity e la protezione dei dati è emersa una richiesta sempre maggiore di figure ibride che affianchino a una forte preparazione giuridica o umanistica anche una comprensione solida delle nuove tecnologie.
“Oggi non c’è quasi più nessuna questione giuridica che non richieda una conoscenza almeno basilare di questioni tecniche, e quindi questa ibridazione dell’umanismo del giurista è ormai imprescindibile”, commenta Ziccardi. “Negli ultimi anni, anche in Italia, sono stati lanciati nuovi corsi che vogliono formare questi profili ibridi. La questione è diventata particolarmente urgente con la creazione della figura del Data Protection Officer, che dovrebbe ricoprire quasi il ruolo di una piccola autorità sulla sicurezza all’interno di enti o aziende. Questo è disegnato proprio come un profilo ibrido che abbia competenze di diritto, informatica, protezione dei dati, analisi del rischio e governance aziendale”.
